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A) Precede d'authentification d'au moins un dispositif d' identification par un dispositif de verification. 



(57) La presente invention conceme un nouveau procede 
oauthentification d'au moins un dispositif d' identification 
par un dispositif de verification. Ce procede est base sur 
des techniques cryptograph iques a cles secretes et publi- 
ques, I'authentification etant realisee par un protocole a ap- 
port nul de connaissance. 

De plus, ce dialogue est etabli en utilisant le problemes 
des equations lineaires contraintes. 

L'invention s'applique a la cryptologie. 



DISPOSITIF PIDENTtFICATltW 
CMt*cr*la-v«tourtS 



Cdculer: hi = H(p.q,MU ♦ P*V) 

h2«[Up.V.q) 

h3 = H((0*S).p,(V.T).qH 

T-k(M(9)) 
Eiwoyerni, n2. r» 



«lb = 1«tor»( = {p,q,U,V) 
sj|i = 2«lor»r = {p,aU , = U + S. 

« t> = 3 alors r = {Up, V.q 

V-(V T).„ 



DISPOSITIF DE VERIFICATION 
Cle publics ^vaeteurP 



2714780 



PROCEDE D f AUTHENTICATION D'AU MOINS UN DISPOSIT1F 
D f IDENTIFICATION PAR UN DISPOSITIF DE VERIFICATION 



La prgsente invention concerne un nouveau procgdg 
5 d 'authentication d'au moins un dispositif d' identification par un 
dispositif de verification, cette authentification gtant rgalisge par un 
protocole & apport nul de connaissance basg sur le problgme des 
Equations lingaires contraintes. 

Le problgme des equations lingaires contraintes (Constrained 

10 linear equations : CLE en langue anglaise) consiste d trouver des valeurs 
satisfaisant un certain nombre d'gquations lingaires modulo un nombre 
premier d, ces valeurs gtant de plus contraintes S se trouver dans un 
ensemble present X. 

La prgsente invention s'applique plus particuligrement au cas 

1 5 des communications dites s6curis6es ou deux dispositifs gchangent des 
donnges g travers un canal dont la sgcuritg est suspecte. Dans ce cas, il 
est essentiel d'avoir un moyen de reconnaissance mutuelle, £ savoir un 
moyen permettant au dispositif de vgrification d'authentifier un 
utilisateur et de lui permettre un acegs aux donnges ou au service. II 

20 existe de nombreux exemples ngcessitant la mise en oeuvre de ce type 
de communication sgcurisge. On peut citer, notamment, le cas des 
ordinateurs de type bancaire permettant d'effectuer des transferts 
d'ordre, des distributeurs automatiques de billets, des dgcodeurs de 
tglgvision £ pgage, des publiphones. 

25 Dans ce contexte, on utilise frgquemment des mgthodes 

d'authentification qui sont basges sur des techniques cryptographiques d 
clgs secrgtes. Ces mgthodes sont, jusqu'S ce jour, les plus simples g 
mettre en oeuvre. Dans le cadre de ces mgthodes, le dispositif 
d' identification, en ggngral une carte d puce, et le dispositif de 

30 vgrification tel qu*un lecteur de carte, un dgcodeur, un publiphone, 
partagent la m§me clg secrgte et I'identification est accomplie par un 
algorithme symgtrique ou une fonction d sens unique. 

L'inconvgnient de ces mgthodes rgside dans le fait que les 
deux parties, g savoir le dispositif de vgrification et le dispositif 

35 d'identification, doivent coopgrer mutuellement et secrgtement. Cette 
condition n'est pas toujours vgrifige. En effet, un glgment pirate peut 
acheter le dispositif de vgrification et Tanalyser pour connattre sa 
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structure interne. Ensuite, reiement pirate est techniquement capable de 
r6aliser des dispositifs d'identification performants, car les cl6s secretes 
sont pr6sentes aux deux extr6mit6s du r6seau, £ savoir dans le dispositif 
de verification et dans le dispositif d'identification. 
5 II est reconnu que, parmi les divers proc6d6s pouvant §tre 

impl6ment6s pour se pr6munir contre les inconvSnients des m6thodes 
classiques connues, les protocoles d apport nul de connaissance 
assurent jusqu'd maintenant le degrg de s6curit6 le plus 6lev6. Ces 
protocoles d apport nul de connaissance sont fonctionnellement 

10 caract6ris6s par le fait qu'un nombre illimite d f interactions avec le 
dispositif d'identification et une analyse complete de la structure du 
dispositif de verification ne sont pas suffisants pour pouvoir reconstruire 
les dispositifs d'identification. On peut trouver une description des 
proc6d6s d'identification d apport nul de connaissance existant 

15 notamment dans le brevet am6ricain N° 4 748 668 au nom de FIAT et 
al. ou dans le brevet americain US-A-4 932 056 au nom de Shamir. Ce 
dernier brevet d6crit une methode d'authentification bas6e sur le 
probldme des noyaux permutes, cette methode etant connue sous le 
nom de methode PKP. 

20 Le present inventeur a aussi mis au point un nouveau proc6d6 

d'authentification base sur le probieme du decodage par syndrome. 
Cette methode est d6crite dans I'article intitule "A new identification 
scheme based on syndrome decoding" de Jacques STERN pr6sent6 au 
congres CRYPTO 93 (Actes £ paraTtre dans la collection "Lecture Notes 

25 in Computer Science"). L'inconv6nient des diff6rentes m6thodes 
d6crites ci-dessus est d'etre relativement lentes lors des echanges entre 
les dispositifs de verification et d'identification. D'autre part, les cl6s 
publiques ou secretes utilis6es dans ces methodes sont en general 
codees sur un nombre de bits tr6s important, n6cessitant une puissance 

30 de calcul 6lev6e et une place m6moire non n6gligeable. 

La presente invention a done pour but de remedier aux 
inconv6nients mentionnes ci-dessus en proposant un nouveau procede 
d'authentification qui permet une authentification rapide du dispositif 
d'identification par le dispositif de verification et autorise I'emploi de cl6s 

35 , tant publiques que secretes, de taille moder6e. 

La pr6sente invention a pour objet un proc6d6 
d'authentification d'au moins un dispositif de verification base sur des 
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techniques cryptographiques d cl6s secretes et publiques, 
I'authentification etant r6alis6e par un protocole d apport nul de 
connaissance, caract6ris6 en ce que la cie publique est etablie en 
utilisant les Equations Iin6aires contraintes. De preference, ce proc6d6 
5 est caract6ris6 par les 6tapes suivantes : 

- pour permettre le dialogue entre le dispositif d" identification 
et le dispositif de verification, etablir une cie secrete constitu6e par au 
moins un vecteur S de dimension n dont les coordonn6es sont choisies 
dans un ensemble X fix6 et une cl6 publique comprenant une matrice M 

10 de dimensions m x n dont les coefficients sont choisis aieatoirement 
parmi les entiers compris entre 0 et d-1 ou d est un nombre premier 
proche du carre d'un nombre c, et au moins un vecteur P tel que 
P = g(M(S)) ou g d6signe une fonction qui est definie d partir de 
('ensemble X et d'un sous groupe G de I'ensemble des entiers (1, 2, ...d- 

15 1) et qui associe d chaque coordonn6e x du vecteur, un element g(x) de 
G tel que x s'6crive d'une manure unique comme produit de g(x) et d'un 
element k(x) de X, 

- au niveau du dispositif d'identification, recevoir un ou 
plusieurs elements alfiatoires produits par le dispositif de verification et 

20 envoyer au dispositif de verification un engagement obtenu en 
appliquant une fonction de hachage cryptographique sur des paramfetres 
fonctions de S, de M et des elements al6atoires , 

- puis, en fonction du ou des nombres aieatoires tires par le 
dispositif de verification, tester au niveau du dispositif de verification d 

25 I'aide des elements regus et de la cl6 publique, que les engagements 
sont corrects, 

- r6p6ter les operations prec6dentes un nombre de fois 
fonction du niveau de s6curit6 souhaite. 

Dans le proc6d6 d'authentification ci-dessus, on utilise une 
30 matrice M de dimensions m x n, cette matrice 6tant commune d tous les 
utilisateurs et construite aieatoirement. Chaque utilisateur regoit une cl6 
secrete S qui est un mot de n bits dont les coordonn6es sont choisies 
dans un ensemble X fix6. L'ensemble X est forme de c elements, tels 
que tout entier compris entre 1 et d-1 s'ecrive de maniere unique comme 
35 produit d'un element de G et d f un element de X. Dans ce cas, le 
systeme calcule la cl6 publique P telle que P = g(M(S)). 
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D'autre part, le proc6d6 d v identification est base 
principalement sur la notion technique d'engagement. Si U est une 
sequence d'6l6ments binaires, un engagement pour U est I'image de U d 
travers une certaine fonction de hachage cryptographique. 
5 L'engagement sera utilise comme une fonction d sens unique. La 
fonction de hachage proprement dite peut Stre r6alis6e par exemple 
suivant la methode pr6sent6e par R. Rivest d CRYPTO 90, sous le nom 
de MD4 (Actes du congr6s CRYPTO 90, collection "Lecture Notes in 
Computer Science", pp. 303-311). On peut utiliser 6galement la 

10 modification de cette methode introduite avec le nom MD5 ou encore le 
standard am6ricain SHA (secure hash standard, Federal Information 
Processing Standards Publications, 30 octobre 1992). II est enfin 
possible d'utiliser d la place de la fonction de hachage un algorithme de 
chiffrement tel que DES, ou le message d hacher joue le r6le de la cl6 

15 et/ou du texte clair d chiffrer. On recommande cependant d'it6rer un tel 
proc6d6 de fa^on que le condense obtenu par hachage ait de preference 
au moins 128 bits. 

Le dispositif d a identification utilise par ailleurs un g6n6rateur 
de permutations al6atoires permutant des vecteurs binaires. Un tel 

20 g6n6rateur peut §tre r6alis6 d partir d'une source de bruit blanc 
num6ris6e, par exemple une diode polaris6e en inverse dans la zone dite 
"du coude", ou peut aussi Stre construit par des methodes logicielles 
comme decrit dans les brevets am6ricains 4 817 147 au nom de 
GUNTER ou 4 649 419 au nom d'ARAGON. 

25 

Selon un premier mode de realisation du proc6d6 
d'authentification, dans une premiere etape commune aux diff6rents 
proc6d6s, le dispositif d'identification r6v6le au dispositif de verification 
son identite et/ou sa cl6 publique sign6e. 

30 D'autre part, aprSs avoir choisi ateatoirement deux vecteurs U 

et V de dimensions respectives m et n constitu6s d'entiers compris entre 
0 et d-1 ainsi que deux permutations p et q respectivement sur m et n 
6l6ments, le dispositif d'identification calcule et transmet au dispositif de 
verification les engagements hi, h2 et h3 definis & partir d'un dispositif 

35 de hachage par hi =H(p,q,MU + P*V), h2 = H(U.p,V.q) et h3 = H((U + 
S).p, (V - T).q) ou P*V designe le produit terme d terme des 
composantes des vecteurs P et V, reduit modulo d et ou T est le vecteur 
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k(M(S)), lequel peut §tre calculi en fonction de S par le dispositif 
d'identification ou stock6 dans une partie physiquement inviolable de la 
m6moire du dispositif ; 

- le dispositif de verification tire d'une fagon aieatoire un 
5 nombre b tel que 0 < b < 4 ; 

- si b vaut 1, alors le dispositif d'identification retourne une 
rtponse r constitute des valeurs de p, q, U et V ; 

- si au contraire b vaut 2, le dispositif d'identification retourne 
une reponse r constitute de p,q et des vecteurs U f = (U + S), V 1 = (V - 

10 T) ; 

- si enfin b vaut 3, alors le dispositif retourne une reponse r 
constitute des vecteurs U.p, V.q ainsi que des vecteurs U" = (U +S).p 
et V = (V - T).q ; 

- le dispositif de verification regoit la reponse r, dans le cas 
15 b = 1, il calcule S partir des elements regus p, q, U, V, les valeurs de MU 

+ P*V, U.p f V.q lesquelles doivent # si la reponse est correcte, §tre 
telles que hi =H(p,q,MU + P*V) ; h2 = H{U.p, V.q) ; 

- si au contraire b = 2 # il calcule d partir des 6I6ments regus p,q 
U\ V, les valeurs de MU' + P*V, U'.p, V.q lesquelles doivent, si la 

20 reponse est correcte, ttre telles que hi = H{p,q, MU* + P*V") et h3 = 
H(U'.p, V.q) ; 

- si b vaut 3, alors le dispositif de verification vtrifie les deux 
6galit6s h2 = H(U.p, V.q) et h3 = H(U", V), de plus le dispositif de 
verification calcule les deux vecteurs U" - U.p et V" - V.q et teste que 

25 ces vecteurs sont bien constituts uniquement d'tltments de X. 

Selon un autre mode de realisation priviltgit de la pr§sente 
invention, dans une premiere ttape commune aux difftrents precedes, le 
dispositif d'identification rtvtle au dispositif de verification son identite 
et/ou sa cie publique signte, 

30 - puis aprts avoir choisi aieatoirement deux vecteurs U,V de 

tallies respectives m et n constitu6es d'entiers compris entre 0 et d-1 
ainsi que deux permutations p et q respectivement sur m et n elements, 
le dispositif d'identification transmet au dispositif de verification les 
engagements hi et h2 dtfinis d partir du dispositif de hachage par hi = 

35 H(p,q,MU + P # V), h2 = (U.p, V.q), ou P*V d6signe le produit terme d 
terme des composantes des vecteurs P et V reduits modulo d. 
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- le dispositif de verification tire de fagon aI6atoire un nombre 
a compris entre 0 et d - 1 ; 

- alors le dispositif d'identification calcule et envoie au 
dispositif de verification les vecteurs Y = (aS + U).p et Z = (aT - V).q 

5 ouT est le vecteur k(M(S)), lequel peut fitre calcule en fonction de S par 
le dispositif d'identification ou stocks dans une partie physiquement 
inviolable de la m6moire du dispositif ; 

- le dispositif de verification tire de fagon a!6atoire un bit b = 

0 ou 1 ; 

10 - si b vaut 0, alors le dispositif d'identification retourne une 

rSponse r constitu6e des valeurs de p et q ; 

- si au contraire b vaut 1, le dispositif retourne une rgponse r 
constitu6e des vecteurs U' = S.p et V" = T.q ; 

- le dispositif de verification regoit la r6ponse r, dans le cas b 
15 = 0, il calcule d partir de p et q les vecteurs X' et Z* tels que (Y f ).p = Y 

et (Z').q = Z, puis le vecteur M(Y') - P*Z' lequel doit si la r6ponse est 
correcte Stre tel que hi = H(p,q,M(Y') - P*Z') ; 

- si b = 1, alors le dispositif de verification calcule les 
vecteurs Y - all' et aV' - Z lesquels doivent si la r6ponse est correcte 

20 etre tels que h2 = H{Y - aU\ aV - Z) et le dispositif de verification teste 
de plus que les vecteurs IT et V sont constitu6s uniquement d'eiements 
de X. 

D'autres caract6ristiques et avantages de la pr6sente invention 
apparaTtront d la lecture de la description de deux modes de realisation 
25 du proc6de, cette description etant faite avec reference aux dessins ci- 
annex6s, dans lesquels : 

- la figure 1 est un schema expliquant un premier mode de 
mise en oeuvre du proc6d6 d 'authentication conforme d la presente 
invention, et 

30 - la figure 2 est un schema d'un second mode de realisation 

du proc6d6 conforme d la pr6sente invention. 

La pr6sente invention concerne done un nouveau proc6d6 

d'authentification realise par un protocole d apport nul de connaissance. 

Dans ce cas, la securite du proc6d6 est bas6e sur le probldme des 
35 equations Iin6aires contraintes. Ce probieme consiste d trouver n valeurs 

satisfaisant un certain nombre d'equations Iin6aires modulo un nombre 

premier d, ces valeurs etant de plus contraintes d se trouver dans un 
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ensemble present X. Le probl6me pos6 ci-dessus est en fait tr6s difficile 
d rtsoudre par les moyens de calcul connus d ce jour dts que le nombre 
de variables est grand. Le systfeme dScrit correspond, en fait, au cas de 
m Equations £ n + m variables et, avec des valeurs m = n = 20, on 
5 dgpasse d£jd largement les possibility des calculateurs. 

Pour mettre en oeuvre le proc6d6 d'authentification conforme 
d la prSsente invention, une autoritS choisie et publie une matrice M de 
dimensions m x n, de preference m = n, cette matrice 6tant constitute 
de coefficients choisis altatoirement parmi les entiers compris entre 0 et 

10 d - 1. d est en gtntral un nombre premier proche du carr6 d'un nombre 
c. De preference, d = 257, d savoir (16 x 16) -f 1. L'autoritt choisit 
aussi une collection de vecteurs S de dimensions n dont les 
coordonn6es sont choisies al6atoirement dans un ensemble X. 
L'ensemble X est determine en fonction d'un ensemble G appeie groupe 

15 multiplicatif forme de la suite des puissances successives d'un nombre 
rtduites modulo d, cet ensemble 6tant choisi de fagon que le nombre 
d'eitments de G soit c. Dans ce cas, il existe alors un ensemble X forme 
tgalement de c elements et tel que tout entier compris entre 1 et d-1 
s'6crive de mantere unique comme produit d f un element de l'ensemble G 

20 et d'un element de l'ensemble X. On notera done g(u) I'eiement de G 
intervenant dans I'unique decomposition d'un entier u compris entre 1 et 
d-1 et k{u) I'eiement correspondant de X. Si U est un vecteur d'entiers 
compris entre 1 et d-1, g(u) est forme des images par G des 
coordonnges de U. On d6finit de m§me k(U). 

25 La cl6 secrete ainsi determin6e est distribute aux differents 

dispositifs d'identification, D'autre part, on publie l'ensemble des cl6s 
publiques constitutes par le vecteur P = g(M (S)). Dans le cadre de la 
pr6sente invention, cette c!6 publique peut fitre cod6e sur un faible 
nombre d'octets de mSme que la cie secrete S par I' intermediate d'une 

30 table des elements de G et de X. Ainsi, dans le cas ou d = 257 et ou m 
= n = 20, on obtient des cl6s de 10 octets, ce qui constitue un 
avantage du present proctdt par rapport aux autres proctdts d apport 
nul de connaissance connus d ce jour. 

On d6crira maintenant deux modes de realisation specifiques 

35 du proc6de de la prtsente invention. 

Le premier proc6d6 sera dtcrit avec reference £ la figure 1 qui 
reprtsente sch6matiquement le protocole de communication mis en 
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oeuvre entre un dispositif d'identification et le dispositif de verification, 
pour r6aliser une authentification. Les dispositifs d'identification qui 
peuvent fitre constitu6s, par exemple, par des cartes d puces ou des cl6s 
eiectroniques doivent §tre physiquement inviolables. Ainsi, pour une 
5 carte & puce, il doit §tre impossible d'acc6der d sa mSmoire interne. Rien 
par contre n'est suppose concernant I'environnement dans lequel 6volue 
le dispositif de verification. D'autre part, le dispositif d'identification 
comporte dans une memoire non volatile sa cl6 secrete S, d savoir le 
vecteur S de dimension n et la matrice M de dimension m x n tandis que 

10 le dispositif de verification comporte dans une m6moire non volatile 
I'ensemble des cl6s publiques constitutes des vecteurs P, ou bien des 
donnees suffisantes pour verifier qu'une cl6 P signee a bien 6t6 produite 
par Tautorite comp6tente. Quand un dispositif d'identification veut entrer 
en contact avec un dispositif de verification, les deux dispositifs 

1 5 executent le protocole suivant : 

- tout d'abord le dispositif d'identification r6veie son identite 
et/ou sa cie signee au dispositif de verification qui v6rifie que Tidentite 
en question correspond bien d P ; 

- ensuite le dispositif d'identification choisit deux vecteurs 
20 al6atoires U,V de tailles respectives m et n, de preference m = n, 

constitu6s d'entiers compris entre 0 et d-1 ainsi que deux permutations 
aieatoires p et q, respectivement sur m et n elements. Alors, le dispositif 
d'identification calcule les elements suivants : hi = H(p,q,MU + P*V), 
h2 = H(U.p, V.q) et h3 = H((U + S).p, (V-T).q) ou P*V designe le 

25 produit terme £ terme des composantes des vecteurs P et V r6duit 
modulo d et ou T est le vecteur k(M(S)). Une fois le calcul effectue, le 
dispositif d'identification envoie au dispositif de verification 
I'engagement hi, h2 # h3. Alors, le dispositif de verification tire de fapon 
aieatoire un nombre b tel que 0 < b < 4 et I f exp6die au dispositif 

30 d'identification ; 

- ensuite le dispositif d'identification calcule et envoie au 
dispositif de verification une r6ponse r d6finie par : 

- si b = 1 , alors r est constitu6e des valeurs de p, q, U et V ; 

- si b = 2, alors r est constituee de p,q et des vecteurs IT = 
35 <U + S) et V = (V - T) ; 

- si b = 3, alors r est constitu6e des vecteurs U.p, V.q et des 
vecteurs IT = (U + S).p et V" = (V - T).q. 
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Le dispositif de verification report la reponse r et, 

- si b = 1 , il calcule d partir des elements regus p,q, U,V les 
valeurs de MU + P*V, U.p, V.q, et ces valeurs doivent, si la r6ponse est 
correcte, etre telles que hi = H(p,q,MU + P*V), h2 = H(U.p, V.q) ; 

5 - si b = 2, le dispositif de verification calcule d partir des 

6l6ments regus p,q, U\ V les valeurs de MIT + P*V\ U'.p, V.q et ces 
valeurs doivent, si la reponse est correcte, §tre telles que hi = 
H(p,q,MU' + P*V), h3 = H(U\p, V\q) ; 

- si b = 3, alors le dispositif de verification v6rifie les deux 
10 egalites h2 = H(U.p, V.q) et h3 = H(LT.p, V.q). De plus, le dispositif 

de verification calcule les deux vecteurs IT - U.p et V.q - S" et teste que 
ces vecteurs sont bien constitu6s uniquement d'eiements de I'ensemble 
X. Si le test ci-dessus s'est av6r6 correct, le dispositif de verification 
considSre que le protocole s'est termine par un succfes. Si le test n'est 

15 pas correct, le dispositif d' identification est rejete. 

Le dispositif de verification r6pete les etapes ci-dessus un 
nombre t de fois, fonction du niveau de s6curit6 requis. Lorsque le 
dispositif est accepte, on envoit une impulsion de commande sur 
T interface entr6e/sortie du systdme prot6g6 qui permet la mise en route 

20 de la transaction ulterieure. 

L'ensemble des operations ci-dessus est symbolise sur la 
figure 1 dans laquelle la partie de gauche repr6sente les diff6rentes 
operations r6alis6es au niveau du dispositif d'identification, tandis que la 
partie de droite repr6sente les diff6rentes operations r6alis6es au niveau 

25 du dispositif de verification, les fieches symbolisant renvoi 
dMnformations d'un dispositif vers Tautre. 

Un autre mode de mise en oeuvre du proc6d6 
d'authentification de la presente invention sera maintenant decrit avec 
reference d la figure 2. 

30 Ce second mode de realisation demande plus de calculs que le 

mode de realisation precedent, mais la probabilite de succfcs d'une entite 
iliegale decroit plus vite. Ce mode de realisation comporte done les 
etapes suivantes, symbolisees sur la figure 2 de manidre identique & la 
symbolisation utilis6e sur la figure 1. Dans ce cas, le dispositif 

35 d' identification revfile au dispositif de verification son identite ou sa cl6 
publique sign6e de la mfime maniere que dans Tautre mode de 
realisation. 
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Puis apr&s avoir choisi algatoirement deux vecteurs V de tallies 
respectives m et n, (m pouvant §tre 6gal & n) constituds d'entiers 
compris entre 0 et d-1 ainsi que deux permutations p et q 
respectivement sur m et n elements, le dispositif d' identification calcule 
5 les elements suivants d savoir : hi = H(p,q,MU + P*V), h2 = (U.p, 
V.q), ou P*V designe le produit terme d terme des composantes des 
vecteurs P et V modulo d et H designe une fonction de hachage 
cryptographique, Alors, Pengagement hi et h2 est envoy6 sur le 
dispositif de verification. Le dispositif de verification tire de fagon 
10 aieatoire un nombre a compris entre 0 et d - 1 et Penvoie sur le dispositif 
d'identification. 

Alors, le dispositif d'identification calcule et envoie au 
dispositif de verification les vecteurs Y = (aS + U).p et Z = (aT - V).q 
ou T est le vecteur k(M(S)) qui peut §tre calcule en fonction de S par le 
15 dispositif d'identification ou stocke dans une partie physiquement 
inviolable de la m6moire du dispositif. 

Ensuite le dispositif de verification tire de fagon aieatoire un bit 
b qui peut Stre 6gal a 0 ou d 1 : 

- si b = 0, alors le dispositif d'identification envoie une 
20 reponse r constitu6e des valeurs de p f q ; 

• si b = 1, le dispositif d'identification envoie une reponse r 
constitu6e des vecteurs U' = S.p et V = T.q ; 

Le dispositif de verification regoit la reponse r et : 

- si b = 0, il calcule d partir de p, q les vecteurs Y' et T tels 
25 que (Y').p = Y et (Z').q = Z puis le vecteur M(Y') - P»Z' qui, si la 

reponse est correcte, doit fitre tel que hi = H(p,q,M (Y') - P*Z') ; 

- si b = 1, alors le dispositif de verification calcule les 
vecteurs Y - aU' et aV - Z qui, si la r6ponse est correcte, doivent §tre 
tels que h2 = H(Y - aU', aV - Z). Alors le dispositif de verification teste, 

30 de plus, que les vecteurs U' et V sont constitu6s uniquement 

d'eiements appartenant d I'ensemble X. 

Si le test correspondent d b est correct, le dispositif de 

verification considdre que le protocole s'est termine par un succ&s et le 

dispositif d'identification est accepte et on envoie une impulsion de 
35 commande sur I'interface entr6e/sortie du systSme protege qui permet la 

mise en route de la transaction ulterieure. Si le test n'est pas correct, le 

dispositif d'identification est rejete. 
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Pour accroTtre la s6curite du proc6d6 # les deux dispositifs 
d 1 identification et de verification r§p^tent les Stapes ci-dessus plusieurs 
fois, d savoir t fois, le dispositif de verification n'authentifiant le 
dispositif d'identification que si toutes les sessions du protocole se sont 
5 sold6es par un succ&s. De preference, on choisit t tel que 0 < t < 60, 
les valeurs t = 35 et t = 20 constituant respectivement pour le premier et 
le second mode de realisation, des exemples typiques apportant une 
s6curite suffisante pour nombre d'applications. 

On a d6crit ci-dessus deux modes de realisation particuliers qui 
10 peuvent etre modifies sans sortir du cadre de la pr6sente invention. 
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REVENDICATIONS 



1. Proc6d6 d'authentification d'au moins un dispositif 
5 d'identification par un dispositif de verification base sur des techniques 
cryptographiques a cl6s secretes et publiques, I'authentification etant 
r6alis6e par un protocole d apport nul de connaissance, caract6ris6 en ce 
que la cie publique est etablie en utilisant les equations Iin6aires 
contraintes. 

10 2. Proc6d6 selon la revendication 1, caracteris6 en ce qu'il 

comporte les Stapes suivantes : 

- pour permettre le dialogue entre le dispositif d'identification 
et le dispositif de verification, etablir une cl6 secrete constitu6e par au 
moins un vecteur S de dimension n dont les coordonn6es sont choisies 

15 dans un ensemble X fix6 et une cl6 publique comprenant une matrice M 
de dimensions m x n dont les coefficients sont choisis aieatoirement 
parmi les entiers compris entre 0 et d-1 ou d est un nombre premier 
proche du carre d'un nombre c, et au moins un vecteur P tel que 
P = g(M(S)) ou g designe une fonction qui est d6finie a partir de 

20 I'ensemble X et d'un sous groupe G de I'ensemble des entiers (1, 2. .d-1) 
et qui associe d chaque coordonn6e x d'un vecteur, un element g(x) de 
G tel que x s'6crive d'une maniere unique comme produit de g{x) et d'un 
element k(x) de X, 

- au niveau du dispositif d'identification, recevoir un ou 
25 plusieurs elements aieatoires (U,V,p,q) produits par le dispositif de 

verification et envoyer au dispositif de verification un engagement 
obtenu en appliquant une fonction de hachage cryptographique sur des 
parametres fonctions de S, de M et des elements aieatoires tir6s par le 
dispositif de verification, 
30 - puis, en fonction du ou des nombres aieatoires tir6s par le 

dispositif de verification, tester au niveau du dispositif de verification d 
I'aide des elements repus et de la c!6 publique, que les engagements 
sont corrects. 

3. Procede selon Tune quelconque des revendications 1 et 2, 
35 caract6ris6 en ce que Ton r6p6te les operations pr6c6dentes un nombre 
de fois fonction du niveau de s6curite souhaite. 
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4. Proc6d6 selon Tune quelconque des revendications 
pr6c6dentes, caract6ris6 en ce que I'ensemble X est forme de c 
elements tels que tout entier compris entre 1 et d-1 s'6crive de manure 
unique comme produit d f un 6I6ment de G et d'un eigment de X. 
5 5. Proc6d6 selon Tune quelconque des revendications 1 £ 4, 

caract6rise en ce que les elements aieatoires sont constitu§s par deux 
vecteurs U et V de dimensions respectives m et n et constitu6s d'entiers 
compris entre 0 et d-1 et par deux permutations p et q respectivement 
sur m et n elements. 
10 6. Proc6de selon Tune quelconque des revendications 1 i 5, 

caract6ris6 en ce que m = n. 

7. Proc6d6 selon Tune quelconque des revendications 1 £ 6, 
caract6rise en ce que d = 257 et n = 20. 

8. Proc6d6 selon Tune quelconque des revendications 1 d 6, 
15 caract£ris6 en ce que, au debut de chaque dialogue, le dispositif 

d' identification rev£le au dispositif de verification son identity et/ou sa 
cie publique sign6e. 

9. Proc6d6 selon Tune quelconque des revendications 1 £ 8, 
caracterise en ce que, une fois le dialogue 6tabli entre le dispositif 

20 d' identification et le dispositif de verification et les elements al6atoires 
choisis : 

- le dispositif d'identification calcule et transmet au dispositif 
de verification les engagements hi et h2 d6finis d partir d'un dispositif 
de hachage par hi = H(p,q,MU + P*V), h2 = (U.p,V.q) ou P # V d6signe le 

25 produit terme d terme des composantes des vecteurs P et V, rSduit 
modulo d ; 

- le dispositif de verification tire d'une fagon aieatoire un 
nombre a compris entre 0 et d-1 ; 

- alors, le dispositif d'identification calcule et envoie au 
30 dispositif de verification les vecteurs Y = (aS + U).p et Z = (aT-V).q, ou T 

est le vecteur k(M(S)) ; 

- le dispositif de verification tire de fagon aieatoire un bit b = 0 

ou 1 ; 

- si b vaut 0, alors le dispositif d'identification retourne une 
35 reponse r constitu6e des valeurs de p, q ; 

- si b vaut 1, le dispositif d'identification retourne une reponse 
r constitu6e des vecteurs U' =S.p et V =T.q ; 
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- le dispositif de verification regoit la r6ponse r, dans le cas 
b=0, il calcule, d partir de p et q les vecteurs Y' et Z" tels que (Y').p = Y 
et {Z').q = Z, puis le vecteur M(Y , )-P # Z t lequel doit, si la reponse est 
correcte, fetre tel que hi =H(p / q # M(Y , )-P*Z') ; 

5 - si maintenant b = 1 f alors le dispositif de verification calcule 

les vecteurs Y-aU' et aV'-Z, lesquels doivent, si la reponse est correcte, 
§tre tels que h2 = H(Y-aU',aV'-Z), le dispositif de verification testant de 
plus que les vecteurs U f et V sont constitu6s uniquement d'eiements de 
X. 

10 10. Proc6d6 selon Tune quelconque des revendications 1 d 8 f 

caract£ris£ en ce que, une fois le dialogue etabli entre le dispositif 
d' identification et le dispositif de verification et les elements aieatoires 
choisis : 

- le dispositif d'identification calcule et transmet au dispositif 
15 de verification les engagements hi, h2 et h3 definis d partir d'un 

dispositif de hachage par M =H(p,q,MU + P*V), h2 = H(U.p,V.q) et 
h3 = H({U + S).p,{V-T).q) ou P*V d6signe le produit terme d terme des 
composantes des vecteurs P et V, r6duit modulo d et ou T est le vecteur 
k(M{S)) ; 

20 - le dispositif de verification tire de fagon aieatoire un nombre 

b tel que 0<b<4 ; 

- si b vaut 1, alors, le dispositif d'identification retourne une 
r6ponse r constitu6e des valeurs de p,q,U et V ; 

- si b vaut 2, alors le dispositif retourne une r6ponse r 
25 constituee de p,q et des vecteurs U' = (U + S) et V* = (V-T) ; 

- si b vaut 3 f alors le dispositif retourne une r6ponse r 
constituee des vecteurs U.p, V.q ainsi que des vecteurs U M = (U + S).p et 
V" = (V-T).q ; 

- le dispositif de verification regoit la reponse r, dans le cas 
30 b = 1, il calcule S partir des 6l6ments regus p,q,U,V, les valeurs de 

MU + P*V, U.p, V.q lesquelles doivent, si la reponse est correcte, §tre 
telles que hi = H(p,q,MU + P*V), h2 = H(U.p,V.q) ; 

- si au contraire b vaut 2, il calcule d partir des elements regus 
p,q,U\V\ les valeurs de Mir+P*V\ U\p, V.q lesquelles doivent, si la 

35 reponse est correcte, fitre telles que hi =H(p,q,MU" + P*V) et 
h3 = H(U\p,V'.q) ; 
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- si enfin b vaut 3, alors le dispositif de verification v6rifie les 
deux 6galit£s h2 = H(U.p,V.q) et h3 = H(U*\V), de plus, le dispositif de 
verification calcule les deux vecteurs U"-U.p et V.q-V" et teste que ces 
vecteurs sont bien constitu6s uniquement d'6l6ments de X. 
5 11. Proc6d6 selon Tune quelconque des revendications 9 et 

10, caractSrisS en ce que I'on r£p£te les Stapes ci-dessus un nombre t 
de fois, fonction du niveau de s6curit§ requis, le dispositif de verification 
n'authentifiant le dispositif d'identification que si toutes les sessions du 
protocole se sont solddes par un succ&s. 
10 12. Proc6d6 selon Tune quelconque des revendications 9 et 

10, caracteris6 en ce que le vecteur k (M(S)) est calcule en fonction de 
S par le dispositif d'identification ou est stock6 dans une partie 
physiquement inviolable de la m£moire du dispositif. 



DISPOSITIF ^IDENTIFICATION 
CI6 secrete = vecteurs S 

Produire : 

- un vecteur aleatoire U de taille m 

- un vecteur aleatoire V de taille n 

- une permutation aleatoie p sur m 

- une permutation aleatoire q sur n 

Calculer : hi = H(p,q,MU + P*V) 

h2 = (U.p, V.q) 

h3 = H((U + S).p,(V-T).q)) 

T = k (M(s)) 
Envoyer hi , h2, h3 



Recevoir b 

si b = 1 alors r = {p, q, U, V} 

si b = 2 alors r = {p, q, U' = U + S, 

V = V-T} 
si b = 3 alors f = {U.p, V.q 
U"= (V + S).p, 
V = (V-T).q} 



Envoyer r 



FIGURE 1 
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DISPOSITIF DE VERIFICATION 
CI6 publique = vecteur P 



Recevoir hi, h2, h3 
produire un nombre aleatoire b tel que 
0< b<4 

Envoyer b 



Recevoir r 
si b = 1 verifier hi, h2 
si b = 2 verifier hi, h3 
si b = 3 verifier h2, h3 
et tester que les vecteurs trouves 

eax 




Oui 









Dispositif 
accepts 
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DISPOSITIF ^IDENTIFICATION 
CI6 secrete = vecteurs S 

Produire : 

- un vecteur ateatoire U de taille m 

- un vecteur ateatoire V de taille n 

- une permutation a!6atoie p sur m 

- une permutation al6atoire q sur n 

Calculer : hi = H(p,q,MU + P*V) 
h2 = (U.p, V.q) 



Envoyer hi, h2 



Recevoir a 

Calculer : 
Y = (aS + U)p 
Z = (aT - V).q 
T = k(M(s)) 

Envoyer Y, Z 



Recevoir b 

si b = 0 alors r = {p,q} 

si b = 1 alors r = {IT = S.p, V = T.q} 

Envoyer r 



FIGURE 2 
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DISPOSITIF DE VERIFICATION 
CI6 publique = vecteur P 



Recevoir hi , h2 
Tirer un nombre aleatoire a tel que 
0< a< d - 1 

Envoyer a 



Recevoir Y, Z 
Tirer un nombre aleatoire b tel que 
0<b< 1 

Envoyer b 



Recevoir r 
si b = 0 verifier hi 
si b = 1 verifier h2 

et tester que les vecteurs 8 a X 




Oui 



Dispositif 
rejet6 



> 






Dispositif 
accepts 



REPUBLIQUE FRANCHISE 



INST1TUT NATIONAL 
dc la 

PROPRIETE INDUSTRIKLLE 



RAPPORT DE RECHERCHE 
PRELIMINAIRE 

etabli sur la base des dcrnieres rcvcndications 
deposees avant le commencement de la recherche 



2714780 

M° rcnregistronent 



FA 496097 
FR 9315879 



Categoric 



DOCUMENTS CONSIDERES COMME PERTINENTS 



D,A 
D,A 



D,A 



Citation du document avcc indication, en cas de besoin, 
des parties pertinentes 



Rerendications 
ooncerates 
de la 4 



EP-A-0 252 499 (YEDA RESEARCH AND 
DEVELOPMENT COMPANY) 

* page 3, ligne 46 - page 4, ligne 17 * 

* figure 3 * 

& US-A-4 748 668 (FIAT ET AL.) 

US-A-4 932 056 (SHAMIR) 

* abrege * 

* colonne 2, ligne 65 - colonne 3, ligne 
23 * 

* figure 1 * 

ADVANCES IN CRYPTOLOGY - CRYPTO '93 
22-26 August 1993, Santa Barbara (US) 
NEW YORK (US) 
pages 13-20; 
J. STERN: 

"A NEW IDENTIFICATION SCHEME BASED ON 
SYNDROME DECODING" 

* page 13, ligne 11 - page 14, ligne 32 * 



t ««B— al *t la rechmkr 

9 Septembre 1994 



DOMAIN ES TECHNIQUES 
RECHERCIIES (lntCl.5) 



H04L 



Lydon, M 



CATEGORIE DES DOCUMENTS CITES 

X : particuliereraent pertinent a lui seul 

Y : particulierement pertinent en conbinaison avec un 

autre document de la meme categoric 
A : pertinent a rencontre d'au mows une revendication 

on arriere-pUn technotogique general 
O : divulgation non-ecrite 

P : document intercalate 



T : theorie ou principe a la base de ^invention 

E : document de brevet benefidant rune date anterieurc 

a la date de depot et qui n'a ete publie «y a cette date 

de depot ou qur a one date posterieure. 
D : cite dans la demande 
L : cite pour d'autres raisons 



A : membre de la mene famille, 



correspond ant 



